计算机审计的几点思考
来源:
2004-06-02
普通
一、在电算化系统的设计和开发阶段,审计人员应对系统进行事前和事中审计
从输入原始数据,到财务报表的输出,这中间的全部会计处理集中由计算机按程序指令自动完成,传统的审计线索在这里中断甚至消失。传统的查账方法,诸如手工会计系统中因疏忽大意而引起的计算或过账错误的机会大大减少了。但如果会计电算化系统的应用程序出错或被人非法篡改,则计算机只会按给定的程序以同样错误的方式处理有关的会计事项,错误的结果将是不堪设想的。会计电算化系统也可能被有意地嵌入一些非法的舞弊程序,不法分子可以利用这些舞弊程序大量吞没企业的财物。系统的处理是否合法合规,是否安全可靠,都与计算机系统的处理和控制功能有关。这是在传统的手工审计中所没有的。因此在会计电算化条件下,审计人员要花费较多的时间和精力来了解和审查计算机系统的功能,以证实其处理的合法性、正确性、完整性和安全性。另外,当一个会计电算化系统已经完成并投入使用后,要对它进行改进,这比在系统设计和开发阶段进行困难得多,代价也要昂贵得多。因此,除了要对投入使用后的电算化会计信息系统审计外,应提倡在电算化系统的设计和开发阶段,审计人员要对系统进行事前和事中审计。审计部门应参与会计电算化软件的鉴定,对会计电算化软件也应采用预置或嵌入审计程序的技术以满足审计发展的需要。
二、审计人员应对会计电算化部门的内部管理制度、职责的划分情况进行审查和评价
1、程序设计者与程序使用者必须分离。现在企业使用的绝大多数是商业通用软件,这个问题还不严重。如果对程序进行二次开发或对原有程序进行修改,必须保证程序设计者与使用者分开。
2、企业对交易录入的编制和批准环节应实施控制。在联机系统下,确保只有经过授权的雇员才可以接近终端和数据录入,如设置操作权限及口令。若权限设置不当,有些岗位该给的权限没给,有的岗位却超出了自己应有的权限,会造成舞弊和管理混乱。
3、对主文件的修改实施控制。例如要求编制特定的表格说明数据需要变动,变动应由使用部门负责人批准,并与打印出来的变动结果相核对。
4、要求被审计单位保留企业财务管理系统中必要的审计痕迹,即软件本身要设有跟踪和记载系统使用情况的功能。对非系统使用人员企图进入系统但未遂的情况进行记录,对正常进入系统的操作人员使用情况也要进行详细记录。
三、直接从数据库中获取被审计单位的数据,并对所取得的数据进行分析和整理,是计算机审计工作的重要环节
1、获取会计电子数据。在计算机信息系统中,输入的原始数据以及各阶段处理的结果一般都是以数据文件的形式存储的。要对被审计单位输出的会计信息的真实性、正确性、合法性进行评价,必须对数据文件进行审计。被审计单位使用的会计软件不同,数据文件的格式也就不同,审计人员首先应了解确定被审计单位的数据库类型,只要这些管理软件是在SQL Server或Access或Foxpro等数据库环境下开发的,审计人员是能够从数据库中取得所需数据并将该文件拷贝到审计工作区的。但是,审计人员需要绕过管理软件直接获取数据,同时也要绕过管理软件对数据的安全保护,在正式的操作规范出台之前,应在审计人员的监督下,由被审计单位相关的专业人员直接操作,拷贝电子数据,交给审计人员。
2、对取得的数据进行分析整理。现代审计要求审计人员对企业的会计资料进行较多的分析,而这正是计算机审计技术的专长,计算机的优势在于能对数据进行高速、正确地运算处理,有助于提高审计工作的效率,降低审计成本。它的运用既提高了审计的正确性与准确性,也使审计人员从冗长乏味的计算工作中解放出来,彻底告别以前手工翻账的作业模式。另外,计算机还可以进行模糊查询,在大量的会计数据中查找含有某些字的会计记录,手工查询会花费审计人员大量的时间和精力,如果运用计算机技术,对会计数据进行查询分析和验证就要简单得多。例如,审计人员使用的数据处理软件是Access,在对医药行业进行审计时,发现西药类的疑点较多,审计人员可在查询窗体下,设定检索条件,在摘要栏的查询条件上输入“*西药*”,计算机就会列出摘要栏内含有“西药”两个字的所有会计事项。而在手工审计条件下,相同的审计内容所消耗的时间和人力是巨大的,运用计算机审计技术可以使大量冗长乏味的查找和计算工作实现自动化,审计人员就可以集中注意于那些需要专业判断的部分。
从输入原始数据,到财务报表的输出,这中间的全部会计处理集中由计算机按程序指令自动完成,传统的审计线索在这里中断甚至消失。传统的查账方法,诸如手工会计系统中因疏忽大意而引起的计算或过账错误的机会大大减少了。但如果会计电算化系统的应用程序出错或被人非法篡改,则计算机只会按给定的程序以同样错误的方式处理有关的会计事项,错误的结果将是不堪设想的。会计电算化系统也可能被有意地嵌入一些非法的舞弊程序,不法分子可以利用这些舞弊程序大量吞没企业的财物。系统的处理是否合法合规,是否安全可靠,都与计算机系统的处理和控制功能有关。这是在传统的手工审计中所没有的。因此在会计电算化条件下,审计人员要花费较多的时间和精力来了解和审查计算机系统的功能,以证实其处理的合法性、正确性、完整性和安全性。另外,当一个会计电算化系统已经完成并投入使用后,要对它进行改进,这比在系统设计和开发阶段进行困难得多,代价也要昂贵得多。因此,除了要对投入使用后的电算化会计信息系统审计外,应提倡在电算化系统的设计和开发阶段,审计人员要对系统进行事前和事中审计。审计部门应参与会计电算化软件的鉴定,对会计电算化软件也应采用预置或嵌入审计程序的技术以满足审计发展的需要。
二、审计人员应对会计电算化部门的内部管理制度、职责的划分情况进行审查和评价
1、程序设计者与程序使用者必须分离。现在企业使用的绝大多数是商业通用软件,这个问题还不严重。如果对程序进行二次开发或对原有程序进行修改,必须保证程序设计者与使用者分开。
2、企业对交易录入的编制和批准环节应实施控制。在联机系统下,确保只有经过授权的雇员才可以接近终端和数据录入,如设置操作权限及口令。若权限设置不当,有些岗位该给的权限没给,有的岗位却超出了自己应有的权限,会造成舞弊和管理混乱。
3、对主文件的修改实施控制。例如要求编制特定的表格说明数据需要变动,变动应由使用部门负责人批准,并与打印出来的变动结果相核对。
4、要求被审计单位保留企业财务管理系统中必要的审计痕迹,即软件本身要设有跟踪和记载系统使用情况的功能。对非系统使用人员企图进入系统但未遂的情况进行记录,对正常进入系统的操作人员使用情况也要进行详细记录。
三、直接从数据库中获取被审计单位的数据,并对所取得的数据进行分析和整理,是计算机审计工作的重要环节
1、获取会计电子数据。在计算机信息系统中,输入的原始数据以及各阶段处理的结果一般都是以数据文件的形式存储的。要对被审计单位输出的会计信息的真实性、正确性、合法性进行评价,必须对数据文件进行审计。被审计单位使用的会计软件不同,数据文件的格式也就不同,审计人员首先应了解确定被审计单位的数据库类型,只要这些管理软件是在SQL Server或Access或Foxpro等数据库环境下开发的,审计人员是能够从数据库中取得所需数据并将该文件拷贝到审计工作区的。但是,审计人员需要绕过管理软件直接获取数据,同时也要绕过管理软件对数据的安全保护,在正式的操作规范出台之前,应在审计人员的监督下,由被审计单位相关的专业人员直接操作,拷贝电子数据,交给审计人员。
2、对取得的数据进行分析整理。现代审计要求审计人员对企业的会计资料进行较多的分析,而这正是计算机审计技术的专长,计算机的优势在于能对数据进行高速、正确地运算处理,有助于提高审计工作的效率,降低审计成本。它的运用既提高了审计的正确性与准确性,也使审计人员从冗长乏味的计算工作中解放出来,彻底告别以前手工翻账的作业模式。另外,计算机还可以进行模糊查询,在大量的会计数据中查找含有某些字的会计记录,手工查询会花费审计人员大量的时间和精力,如果运用计算机技术,对会计数据进行查询分析和验证就要简单得多。例如,审计人员使用的数据处理软件是Access,在对医药行业进行审计时,发现西药类的疑点较多,审计人员可在查询窗体下,设定检索条件,在摘要栏的查询条件上输入“*西药*”,计算机就会列出摘要栏内含有“西药”两个字的所有会计事项。而在手工审计条件下,相同的审计内容所消耗的时间和人力是巨大的,运用计算机审计技术可以使大量冗长乏味的查找和计算工作实现自动化,审计人员就可以集中注意于那些需要专业判断的部分。